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PROCEDE DE CONTROLE D' UTILISATION D'UNE CARTE A 

PUCE 



La pr^sente invention concerne un procede de 
controle d'une carte a puce. 

Elle s' applique plus particulierement aux cartes 
mettant en oeuvre des algorithmes de cryptographie 
utilisant des cles ou des couples de cles dans des 
sessions d' authentif ication, lors de transactions entre 
la carte et un terminal. 

On entend par terminal, aussi bien le terminal dans 
lequel la carte est introduite, comme par exemple un 
terminal de paiement chez un commercant, qu'un serveur 
d'une banque auquel ce terminal de paiement peut-etre 
relie lors d'une transaction dite par liaison directe, 
selon un mode de transaction dit "online" dans la 
litterature anglo-saxonne . C'est notamment le cas pour 
les cartes bancaires (carte de debit/credit) , pour des 
transactions portant sur un montant qui depasse un 
certain seuil et dans lesquelles le terminal se 
connecte automatiquement au serveur pour des 
verifications supplementaires avant d' accepter la 
transaction . 

Dans la suite, on entend par terminal tout systeme 
exterieur auquel la carte est connectee lors d'une 
transaction. 

L' invention s' applique notamment, ma is pas 
exclusivement aux cartes a puce de type porte-monnaie 
electronique, qui sont des moyens de paiement jetables 
ou rechargeables. 

Pour prevenir toute fraude liee a 1 ' utilisation de 
cartes a puce, des algorithmes cryptographiques sont 
utilises, qui utilisent des cles. 



En pratique, pour un certain nombre de transactions 
une ou plusieurs sessions d' authentif ication par la 
carte ou par le terminal sont prevues , de maniere a 
assurer une securite maximum. On entend par session 
d' authentif ication 1' ensemble des operations visant a 
f aire calculer par la carte et par le terminal une 
signature (ou un certificat) correspondant a 
l'application d'un algorithme de cryptographie sur une 
donnee qui peut-etre imposee par l'un ou 1' autre ou un 
melange de donnees de la carte et du terminal, et a la 
comparaison des deux signatures. Si cette comparaison 
est effectuee par la carte, c'est une authentif ication 
par la carte, qui recoit la signature calculee par le 
terminal. Si c'est une authentif ication par le 
terminal, c'est le contraire. 

Cependant, un nouveau type de fraude est apparue 
qui consiste a deduire la valeur des cles secretes a 
partir d' analyses statistiques basees sur des mesures 
de consommation en courant de la carte, lors des 
periodes de calcul cryptographique. Cette methode 
d'attaque, appelee attaque DPA pour differential power 
analysis repose sur le fait que 1 ' on a des signatures 
de consommation en courant a partir desquelles, si on 
connalt au moins la donnee appliquee en entree ou la 
donnee obtenue en sortie, on est capable, en faisant 
des hypotheses sur les cles, de retrouver la valeur ou 
une partie de la valeur d'une cle qui a ete utilisee 
dans le calcul cryptographique considere. 

Pour mettre en oeuvre cette fraude, il faut done 
pouvoir lancer un calcul cryptographique avec la meme 
cle un certain nombre de fois, par exemple, 300 fois. 
Pour que ce soit utilisable, il faut connaitre ou 
pouvoir imposer ou pouvoir fixer un parametre du calcul 
cryptographique . 

Si on prend 1' exemple des cartes a puce de type 
porte-monnaie electronique mettant en oeuvre un 



algorithme de cryptographie a cle secrete, les 
transactions entre une carte de ce type et un terminal 
se deroulent globalement selon le schema suivant, 
represents sur la figure 1 : 

- dans une phase d' initialisation, la carte calcule 
une cle de session SKX, a partir d'une cle secrete KDX 
contenue dans la carte concernee et d'un compteur de 
sessions NTX de la carte qui est increments de fagon 
irreversible pendant la transaction. 

Puis selon le type de transactions, la carte 
calcule une signature SI et/ou une signature S2, en 
appliquant 1' algorithme de cryptographie a une donnee, 
en general imposee par la carte, et avec la cle de 
session SKX. 

De son cote, le terminal calcule des signatures 
correspondantes, et selon le type de transaction, soit 
le terminal est authentifie par la carte, soit la carte 
est authentifiee par le terminal. II y a done 
transmission de donnees et de signatures associees lors 
de sessions d'authentif ication. 

Prenons le cas d'une tentative de fraude basee sur 
une transaction de type chargement {load dans la 
litterature anglo-saxonne) , qui sert normalement a 
crediter la carte de type porte-monnaie electronique 
avec une certaine somme. 

Si on lance un certain nombre de fois (300 fois par 
exemple) une transaction de ce type et si on retire la 
carte du terminal juste apres la phase 
d' initialisation, le compteur de sessions NTX de la 
carte ne sera pas increments. Si on fait 300 
transactions de ce type en retirant la carte du 
terminal pour faire avorter la transaction, la cle de 
session SKX sera la meme pour ces 3 00 transactions. On 
pourra done collecter 3 00 courbes de mesure de 
consommation en courant correspondant au calcul de 300 
signatures sur des donnees qui pourront etre identiques 



ou variables selon les transactions, et avec la meme 
cle. 

L'analyse statistique dans le cas ou les donnees 
sur lesquelles le calcul cryptographique est applique, 
sont variables, permet d'obtenir la cle de session. 

Selon le type de cartes, selon les transactions, on 
peut en pratique soit deduire les cles secretes reelles 
contenues dans la carte, ou les cles de session. 

La connaissance d'une cle secrete reelle permet 
d'une part de fabriquer des fausses cartes avec cette 
cle ; ces cartes seront vues comme bonnes par un 
terminal. Cette connaissance permet d' autre part de 
realiser des transactions de type annulation d' achat, 
pour une carte de type porte-monnaie, permettant de re- 
crediter la carte d'un montant precedemment debite. 

La connaissance d'une cle de session permet quant a 
elle de rejouer une transaction, en utilisant une 
fausse carte (un clone) ou un simulateur. 

L' invention a pour objet d'empecher ce type de 
f raude. 

Or cette f raude necessite deux type d 7 operations 
distinctes: 

- une operation de collection de mesures de 
consommation en courant, pour laquelle il faut utiliser 
la carte pour faire les mesures a des moments propices, 
avec des transactions reelles avec un terminal, mais 
qui sont avortees par retrait de la carte {pull out) ou 
des transactions avec un simulateur du terminal, 
transactions qui vont echouees par defaut 
d'authentif ication du terminal par la carte (mauvaises 
signatures) ; et 

- une operation d' analyse statistique utilisant des 
moyens de simulation (ordinateurs) , pour retrouver les 
donnees recherchees, c'est a dire les cles. 

Pour mener a bien l'analyse statistique, il faut 
effectuer un grand nombre de mesures : 50, 300, 5000. 



Cela veut dire que dans la carte, il va y avoir un 
grand noinbre d'echecs de sessions d' authentif ications 
par la carte, echecs dus a des transactions avortees, 
par retrait de la carte du terminal (pull-out) ou 
echouees, par fourniture par le terminal de mauvaises 
signatures mauvaises signatures. 

Un objet de 1' invention est ainsi d'empecher la 
collection de mesures de consommation en courant. 

Or on a vu que dans le cas ou 1'on cherche a faire 
cette collection, on va avoir un grand nombre d'echecs 
de sessions d'authentif ication par la carte. 

Une solution apportee au probleme technique de 
1' invention consiste a utiliser dans la carte un 
compteur de controle, pour decompter (ou compter) ces 
echecs, et interdire 1' utilisation de la carte quand un 
certain nombre d'echecs sont comptabilises . 

L' invention concerne done un procede de controle 
selon la revendication 1. 

Selon 1' invention, lorsqu'une transaction entre la 
carte et un terminal est lancee, qui utilise au moins 
une session d' authentif ication par la carte, le 
compteur de controle est decrements d'une unite. II 
n'est re-incremente de cette unite que si 
1' authentif ication est reussie. Ou bien, le compteur de 
controle est increments d'une unite et n'est ensuite 
decrements de cette unite que si la session 
d'authentif ication est reussie. 

De preference, on utilise un compteur de controle 
par cle et/ou par couple de cles de cryptage utilises 
dans la carte. 

Le compteur de controle selon 1' invention peut 
decompter depuis, ou compter jusqu'a une valeur de 
blocage N representative du nombre d'echecs autorises. 

Cette valeur de blocage N depend du type de 
transactions dans lesquelles la cle ou le couple de 
cles associe est utilise. Cette valeur correspond a un 
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nombre de fois autorise de transactions echouees ou 
avortees. Elle tient notamment compte du niveau de 
securite a associer a la transaction, c'est a dire du 
risque encouru par une fraude sur cette cle ou ce 
5 couple de cles. 

Par exemple, s'agissant pour une carte de type 
porte-monnaie electronique, d'une transaction de mise a 
jour de parametres de la carte, ces parametres pouvant 
etre la date d' expiration, les valeurs meme des cles, 
10 un montant maximum pour une transaction . . . , on prevoit 
une valeur N assez faible, car un tres fort degre de 
securite doit etre associe a une telle transaction et 
peu d'erreurs d' utilisation peuvent survenir pour ce 
type de transaction. S'agissant d'operations d'achats 
15 ou d'annulation d'achats, pour lesquels un certain 
nombre d'incidents lors de 1 ' utilisation "normale" de 
la carte peuvent intervenir, dxis notamment a des 
erreurs d'utilisation par le titulaire, on prevoit une 
valeur plus grande. 
20 Pour une cle donnee ou un couple de cles donne, 

lorsque le compteur a atteint sa valeur limite, zero 
par decrementation ou N par incrementation, 
l'utilisation de la cle ou du couple de cles est 
bloquee : aucune transaction utilisant cette cle ou ce 
25 couple de cles ne peut plus etre effectuee. De 
preference, on prevoit que ce blocage est irreversible. 
On peut cependant prevoir de re-init ialisiser le 
compteur dans le cas ou un blocage resulte 
indiscutablement d'une erreur non intentionnelle de 
30 l'utilisateur. On peut aussi prevoir de pouvoir 
modifier la valeur de blocage N, si elle se revele en 
pratique trop faible ou trop grande. Ces re- 
initialisation ou modification ne pourront se faire que 
selon une procedure tres securisee par un tiers 
35 habilite (la banque) . 
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En outre, dans certaines transactions, plusieurs 
calculs cryptographiques sont executes, avec la meme . 
cle ou le meme couple de cles jusqu'a et y compris 
celui de la session d' authentif ication par la carte. On 
prevoit alors de decrementer, ou incrementer, le 
compteur ou bien d'une nouvelle unite avant chaque 
calcul, ou bien d'une unite representative du nombre de 
calculs effectues. Si la session d ' authentif ication est 
reussie, le compteur est re- increments , ou decrements, 
soit de la somme des unites decrement's, ou 
increment's , au moyen d'un compteur de pointage ou de 
l'unite representative, selon le mode d ' implementation 
choisi du procede de controle selon 1' invention. 

D'autres caracteristiques et avantages de 
15 l' invention sont decrits dans la description suivante, 
faite a titre indicatif et nullement limitatif et en 
reference aux dessins annexes dans lesquels : 

- la figure 1 deja decrite represente un schema 
type de calculs cryptographiques effectues lors d'une 

2 0 transaction entre une carte de type porte-monnaie 
electronique utilisant un algorithme de cryptographie a 
cle secrete et un terminal; 

- la figure 2 est un schema general des ressources 
d'une carte de ce type, comprenant des compteurs de 

25 controle selon 1' invention; et 

- les figures 3 a 5 sont des organigrammes de 
transactions typiques dans une application porte- 
monnaie electronique mettant en oeuvre le procede de 
controle d'utilisation selon 1' invention. 

Le principe general de 1' invention est d'utiliser 
au moins un compteur de controle que l'on va 
decrementer, ou incrementer d'une unite en debut de 
transaction entre un terminal et une carte, et que l'on 
ne va re- incrementer , ou decrementer qu'apres une 
session d' authentif ication par la carte, si cette 
session est reussie. 
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Dans la suite on ne retient que le cas ou le 
compteur est decrements systematiquement au debut de 
chaque transaction et rS-incrSmentS sous conditions. On 
se transposera aisSment dans le cas inverse ou le 
compteur est increments systematiquement, en debut de 
transaction, et decrements sous conditions. 

Le compteur est initialise a une valeur de blocage 
N, representative du nombre d'echecs autorises qui est 
notamment fonction de 1 ' application. Si beaucoup de 
transactions sont demarrees sans permettre une 
authentif ication reussie par la carte, soit que la 
transaction ait ete interrompue (cas de pull out) , soit 
que les donnees envoyees a la carte pour permettre 
1' authentif ication par la carte soient fausses (cas 
d'un simulateur utilise a la place d'un vrai terminal), 
le compteur qui est decrements a chaque nouvelle 
transaction, mais qui n'est pas re-incremente dans tous 
les cas d'Schecs d' authentif ication par la carte, finit 
par atteindre zero. L' utilisation de la carte est alors 
bloquee. 

Un exemple de mise en oeuvre de 1' invention va 
maintenant etre explique pour une carte de type porte- 
monnaie electronique mettant en oeuvre un algorithme de 
cryptographie dont la cle de cryptage est une cle 
secrete, L'invention ne se limite pas ni a ce type de 
carte, ni a ce type d' algorithme. Elle s' applique a 
toute carte effectuant pour au moins une transaction, 
une session d' authentif ication. La session 

d' authentif ication peut utiliser un algorithme a cle 
secrete comme 1' algorithme DES, ou un algorithme de 
type RSA utilisant un couple de cles de cryptage (cle 
privee, cle publique) . Certaines cartes implementent 
meme ces deux algorithmes pour utiliser l'un ou l'autre 
selon la transaction a effectuer. Le procSde de 
controle selon l'invention s' applique a toutes ces 
diffSrentes cartes et applications. 
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La figure 2 represente schematiquement les 
ressources d'une carte a puce de type porte-monnaie 
electronique, a laquelle on peut appliquer le procede 
de controle de 1 ' invention, 

Elle comprend principalement un microprocesseur hp, 
et des ressources memoires dont une memoire morte ROM, 
contenant en pratique le code programme, une memoire 
dynamique RAM comme memoire de travail et une memoire 
non volatile de type EEPROM par exemple, qui contient 
en pratique des parametres sensibles (au sens securite) 
de la carte, dont des compteurs . Dans 1' exemple, cette 
memoire contient notamment trois cles secretes notees 
KDP, KDL et KDU, trois compteurs de sessions associes, 
notes NTP, NTL et NTU, et trois compteurs de controle 
associes selon 1' invention, notes C KDp , C KDL , C KDU - 

Cette memoire contient d'autres parametres. 
Certains peuvent etre mis a jour par un systeme 
externe, par une transaction de mise a jour, selon une 
procedure securisee . 

On rappelle que dans une carte porte-monnaie 
electronique, trois types de transactions sont 
possibles et a chaque type de transaction correspond 
une cle secrete associee. On a ainsi les types de 
transaction suivants : 

- Achat ou annulation d' achat (purchase or purchase 
cancellation) avec la cle secrete associee, notee KDP; 

- Chargement ou dechargement (Load or Unload) avec 
la cle secrete associee, note KDL et 

- Mise a jour (update) avec la cle secrete 
associee, notee KDU. 

Dans 1' invention, on prevoit alors d'utiliser un 
compteur de controle par cle secrete differente. On a 
ainsi le compteur Ckdp associe a la cle secrete KDP, le 
compteur Ckdl associe a la cle secrete KDL et le 
compteur Ckdu associe a la cle secrete KDU. 



10 



10 



L'exemple d' organ igramme de fonctionnement d'une 
telle carte represents sur la figure 3 concerne une 
transaction de type achat (purchase) , pour laquelle la 
carte utilise done la cle secrete KDP, le compteur de 
session associe NTP et le compteur de controle associe 
selon 1 ' invention , C RDp . 

Une transaction d' achat comprend une premiere phase 
d' initialisation qui se limite normalement a 1' envoi 
d'une commande par le terminal a la carte, pour lui 
specifier le type de transaction. On libelle 
habituellement cette commande de la maniere suivante, 
dans la litterature anglo-saxonne : IN IT FOR PURCHASE. 

Le microprocesseur se branche alors sur l'adresse 
du code programme correspondant a ce type de 
15 transaction. 

Dans 1' invention, on prevoit dans cette phase 
d' initialisation de decrementer le compteur de controle 
concerne, C KDp , d'une unite. La carte execute done 
1 # instruction suivante : C KDp = C KDP - u. 

Elle teste alors si le compteur de controle a 
atteint sa valeur limite, dans l'exemple zero. Si il a 
atteint sa valeur limite (C KDP <D) , la carte ne peut 
donner suite a la transaction, qui se terminera done 
par defaut de reponse par la carte. 

Si la limite n'est pas atteinte, la carte passe a 
une phase de traitement, dans laquelle elle procede 
notamment aux operations suivantes : 

- elle calcule la cle de session SK p , en appliquant 
l'algorithme de cryptographie a la valeur du compteur 
de session NTP et en utilisant la cle secrete KDP, 

- elle envoie une donnee au terminal pour qu'il 
calcule une signature correspondante S2 T , 

- elle reqroit en retour la signature S2 T calculee 
par le terminal^ 
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- elle calcule une signature S2 en appliquant 
l'algorithme de cryptographie a la donnee variable 
envoyee au terminal, avec la cle de session SK p . 

La carte compare alors les deux signatures. Si 
elles sont comparables, 1' authentif ication est reussie, 
le compteur de controle selon 1' invention est alors re- 
incremente par la valeur u. Sinon, il est inchange. La 
transaction peut ensuite continuer. 

On voit que si trop de transactions de type achat 
conduisent a un echec de 1 ' authentif ication par la 
carte, le compteur de controle selon 1' invention va 
permettre de bloquer toute utilisation de la carte pour 
une transaction de type achat. 

En fait il bloque toute utilisation de la carte 
pour des transactions de meme type, utilisant la meme 
cl6 secrete. Ainsi, dans le cas du compteur Cj^p, ce 
sont les transactions d' achat ou d'annulation d' achat 
qui seront bloquees . 

La figure 4 montre un organigramme de 
f onctionnement de la carte pour la transaction de type 
annulation d' achat, qui utilise done la meme cle 
secrete KDP. 

Dans cette transaction, la phase d' initialisation 
initiee par une commande d' initialisation du terminal, 
(commande "init for purchase cancellation" selon la 
litterature anglo-saxonne) , comprend, en plus de la 
decrementation d'une unite u du compteur de controle 
C VT . selon 1' invention, le calcul de la cle de session 
SK p et d'une signature SI obtenue par application d'un 
algorithme de cryptographie sur une donnee, en 
utilisant la cle de session. A 1' issue de ce calcul, la 
carte transmet au terminal, cette donnee et la 
signature SI, pour permettre au terminal d' authentif ier 
la carte. Cette authentif ication par le terminal ne 
fait l'objet d'aucune reponse du terminal. 



12 



La carte passe a la phase de traitement dans 
laquelle elle authentif ie a son tour le terminal, comme 
precedemment . Dans ce type de transaction, la signature 
S2 est en general calculee sur zero. La carte calcule 
5 done la signature S2 correspondante avec la cle de 
session KDP. Elle repoit la signature S2 T calculee par 
le terminal et effectue la comparaison des deux 
signatures. Si elles sont comparables, la session 
d' authentif ication est reussie. Le compteur de controle 

10 selon 1' invention est re-incremente par 1 'unite u. 

Sinon, le compteur de controle est inchange. La 
transaction se poursuit. 

Dans le cas de cette transaction, on voit que la 
carte effectue deux calculs cryptographiques jusqu'a et 

15 y compris celui de la session d' authentif ication par la 
carte, le calcul de la signature SI et le calcul de la 
signature S2 . Pour cette transaction, on prevoit alors 
de preference de decrementer le compteur de controle 
d'une valeur correspondant au nombre de calculs 

2 0 cryptographiques effectues jusqu'a et y compris celui 
de la session d' authentif ication par la carte, 

Cette decrementation peut se faire en une seule 
fois, par une unite u representative de ce nombre de 
calculs realises pour cette transaction. La valeur 

2 5 prise par u pour cette transaction pourrait etre 
initialisee dans la phase d' initialisation, suite a la 
commande du type "INIT FOR" . Cette decrementation en 
plusieurs fois, en decrementant d'une unite le compteur 
avant chaque calcul, dans l'exemple, avant le calcul de 

30 la signature SI et avant le calcul de la signature S2 • 
Dans ce cas, on prevoira de faire le test de la valeur 
limite sur le compteur apres chaque decrementation. 

Dans ce cas aussi, on prevoit alors un compteur de 
pointage associe au compteur de controle, note D KDp sur 

35 la figure 2, initialise a zero au debut de la 
transaction et que l'on vient par exemple incrementer a 



chaque fois que l'on decremente le compteur de 
controle. Ainsi, si 1 ' authentif ication par la carte est 
reussie, on re-incremente le compteur de controle du 
nombre contenu dans le compteur de pointage. 
5 On notera que l'homme du metier utilisera l'une ou 

1' autre des differentes possibilites de mise en oeuvre 
selon les specificites de l'application visee. 
Notamment on peut utiliser une mise en oeuvre pour un 
type de transactions et une autre pour un autre type de 

10 transactions selon le degre de securite voulu. 

La figure 5 represente un organigramme de 
f onctionnement pour une autre type de transaction, 
celle de mise a jour. II est relativement semblable aux 
precedents, mais 1 ' authentif ication par la carte se 

15 fait ici sur la signature notee SI. 

En fait, de maniere generale, le compteur de 
contrdle est decremente au debut de la transaction. II 
n'est re-incremente, s'il peut 1'etre, qu'apres une 
session d'authentif ication par la carte. 

20 On notera que les organigrammes des figures 3 a 5 

ne montrent que certaines des operations effectuees au 
cours de la transaction, pour 1 ' explication du procede 
selon 1' invention. En pratique, d'autres operations 
sont executees. Notamment selon les transactions, on 

25 utilise pour calculer les signatures la cle de session 
courante, ou la cle de session precedente. Apres le 
calcul de la cle de session, le compteur de session 
doit-etre increments . . . Tous ces aspects sont 
specif iques de l'application a proprement parler et 

3 0 n'ont pas d'interet quant a la mise en oeuvre du 
procede de controle selon 1' invention. 

Les differents compteurs de controle doivent etre 
initialises a une valeur de blocage N bien choisie. 
Cette valeur doit tenir compte du type de transactions 

3 5 associe, du niveau de securite correspondant a mettre 
en oeuvre mais aussi des erreurs possibles en cours 
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d' utilisation "normale" par le titulaire de la carte : 
il ne s'agit pas de bloquer 1 'utilisation de la carte 
alors que le titulaire n'a pas cherche a faire une 
fraude. 

Dans un exemple a titre purement illustratif, mais 
qui rend compte des differents aspects qui doivent etre 
pris en compte, on peut initialiser le compteur de 
controle C vriD associe aux transactions achat/annulation 
d' achat a 100, le compteur de controle C KDL associe aux 
transactions chargement/dechargement a 20, et le 
compteur de controle C KD u associe aux transactions de 
mise a jour a 10. 

On a explique precedemment qu'une variante du 
procede de controle selon 1' invention consiste a 
increraenter le compteur a chaque session et a ne le 
decrementer que sous condition (authentif ication par la 
carte reussie) . Dans ce cas, le compteur est initialise 
a zero, et la valeur limite, a laquelle le contenu du 
compteur est compare, est egale a la valeur de blocage 
N. Tout ce qui a ete decrit precedemment s' applique a 
cette variante de 1' invention. 

L' invention vient d'etre expliquee dans un exemple 
d' application a une carte porte-monnaie electronique . 
Mais il ressort clairement de cette description que le 
procede de controle selon 1' invention s' applique a tout 
type de carte a puce des lors qu'elle realise une 
session d' authentif ication. Cette session 

d 7 authentif ication peut etre basee sur un algorithme de 
cryptographie a cle secrete, par exemple de type DES , 
comme explique dans le cas de la carte porte-monnaie 
electronique, mais aussi des algorithmes d'autres type, 
comme les algorithmes de type RSA utilisant un couple 
de cles (cle privee, cle publique) par exemple. Par 
ailleurs, dans 1' invention, on entend par carte a puce 
aussi bien les cartes de format bien connu que des 
supports portables. 



f euille avant rectification 
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REVENDI CATI ONS 

1. Procede de controle de 1 'utilisation d'une carte 
a puce comprenant un microprocesseur apte a effectuer 
des calculs de cryptographie dans la carte pour 
effectuer des sessions d' authentif ication lors d'une 
transaction entre la carte et un terminal, caracterise 
en ce que ledit procede utilise au moins un compteur de 
controle (C KDP ) et en ce <3 ue P our une transaction 
comprenant au moins une session d' authentif ication par 
la carte, le procede consiste : 

- a decrementer, ou incrementer, d'une unite (u) le 
compteur de controle au debut de la transaction et 

- si 1' authentif ication par la carte est reussie, a 
effectuer la re-incrementation, ou la decrementation, 
dudit compteur de controle par ladite unite (u) . 

2. Procede selon la revendication 2, caracterise en 
ce que le compteur de controle peut decompter depuis, 
ou compter jusqu'a, une valeur de blocage. 

3. Procede selon la revendication 2, caracterise en 
ce qu'il comprend 1' utilisation d'un compteur de 
contr61e par cle et/ou par couple de cles de cryptage 
contenus dans la carte. 

4. Procede selon la revendication 3, caracterise en 
la valeur de blocage associee a un compteur est 
fonction du type de transactions dans lesquelles la cle 
associee ou le couple de cles associe est utilise. 

5. Procede selon la revendication 3, caracterise en 
ce que 1'unite de decrementation, ou d ' incrementation, 
d'un compteur de controle est representative du nombre 
de calculs cryptograph iques avec la cle associee ou le 



couple de cles associe, effectues jusqu'a et y cornpris 
celui de ladite session d'authentif ication pendant 
ladite transaction. 

6. Procede selon la revendication 3, caracterise en 
ce que le compteur de controle associe a une cle ou un 
couple de cles est decrements, ou increments, d'une 
nouvelle unite, avant chacun des calculs 
cryptographiques utilisant ladite cle ou le dit couple 
de cles, jusqu'a et y cornpris celui de ladite session 
d'authentif ication par la carte. 

7. Procede selon la revendication 5, caracterise en 
ce que la re-incrementation, ou la decrementation, du 
compteur par 1' unite representative du nombre de 
calculs cryptographiques est effectuee si la session 
d'authentif ication par la carte est reussie. 

8. Procede selon la revendication 6, caracterise en 
ce qu'il comprend un compteur de pointage (D KDp ) pour 
memoriser le nombre de decrementations, ou 
d' incrementations, d'une unite effectuees, pour 
permettre la re-incrementation, ou la decrementation, 
du compteur de controle (C KDP ) P ar le contenu du 
compteur de pointage, si la session d ' authent if ication 
par la carte est reussie. 

9. Procede de controle selon l'une quelconque des 
revendications precedentes, caracterise en ce que 
ladite session d'authentif ication par la carte est 
effectuee lors d'une connexion par liaison directe a un 
serveur. 

10. Procede selon l'une quelconque des 
revendications precedentes, caracterise en ce que, 
lorsque le compteur de controle est decrements, ou 
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increments, jusqu'a une valeur limite, il bloque 
1'utilisation de la cle associee ou du couple de cle 
associe. 

11. Procede selon la revendication 10, caracterise 
en ce que le blocage de 1 'utilisation de la cle ou du 
couple de cles est irreversible, 

12. Carte a puce comprenant au moins un compteur de 
controle associe a au moins une cle et/ou un couple de 
cles pour la mise en oeuvre d'un procede de controle 
selon l'une quelconque des revendications precedentes. 



* 



feuilletectifieel 



RE VEND I CATIONS 

1. Procede de controle de 1 1 utilisation d'une carte 
a puce comprenant un microprocesseur apte a effectuer 
des calculs de cryptographie dans la carte pour 

5 effectuer des sessions d 1 authentif ication lors d'une 
transaction entre la carte et un terminal/ caracterise 
en ce que ledit procede utilise au moins un compteur de 
controle (C^p) et en ce que pour une transaction 
comprenant au moins une session d f authentif ication par 
10 la carte, le procede consiste : 

- a decrementer, ou incrementer, d T une unite (u) le 
compteur de controle au debut de la transaction et 

- si 1 ' authentif ication par la carte est reussie, a 
effectuer la re-incrementation, ou la decrementation, 

15 dudit compteur de controle par ladite unite (u) . 

2. Procede selon la revendication 1, caracterise en 
ce que le compteur de controle peut decompter depuis, 
ou compter jusqu'a, une valeur de blocage. 

20 

3. Procede selon la revendication 2, caracterise en 
ce qu'il comprend 1 ' utilisation d'un compteur de 
controle par cle et/ou par couple de cles de cryptage 
contenus dans la carte. 

25 

4. Procede selon la revendication 3, caracterise en 
la valeur de blocage associee a un compteur est 
fonction du type de transactions dans lesquelles la cle 
associee ou le couple de cles associe est utilise. 

30 

5. Procede selon la revendication 3, caracterise en 
ce que 1' unite de decrementation, ou d 1 incrementation, 
d'un compteur de controle est representative du nombre 
de calculs cryptographiques avec la cle associee ou le 



1/4 



KDX 



SKX=f(KDX,NTX) 



S1/S2 

FIG.1 



KDP 


NTP 


SKP 


Ckdp 


Dkdp 


KDL 


NTL 


SKL 


Ckdl 




KDU 


NTU 


SKU 


Ckdu 





HP 



7 



RAM 



EEPROM 



ROM 



CPE 



FIG.2 



2/4 




ACHAT 







PHASE D'INITIALISATION 






Ckdp =Ckdp -u 







i-Oui-< ^ Ckdp >0 — 



Non- 



Phase de traitement 



LIMITE ATTEINTE 



— Envoi DATA au terminal 

- Calcul SKP=f(KDP,NTP) 

- Calcul S2=f(DATA,SKP) 

— Reception S2«p du terminal 



0ui < 



S2=S2 



tI> 



-Non- 



Ckdp =Ckdp +u 



SUITE TRAITEMENT 



FIG.3 



3/4 



(AM 



ANNULATION ACHAT 








PHASE D'INITIALISATION 






Ckdp =Ckdp -u 







r Oui-<^ Ckdp >0 ?^> — Non- 



LIMITE ATTEINTE 



- Calcul SKP=f(NTP,KDP) 

- Calcul Sl=f(DATA,SKP) 

- Envoi (DATA, SI) au terminal 



PHASE DE TRAITEMENT 

- Calcul S2=f(0,SKP) 

— R§ception S2<j» du terminal 



r 0ui < 



S2=S2™ ? 



> 



-Non- 



Ckdp =Ckdp +u 



FIG.4 



SUITE TRAITEMENT 



4/4 



MISE A JOUR 







PHASE D'INITIALISATION 







Ckdu =Ckdu — u 



r Oui-< ^ Ckdu >0 ?^ > — Non- 



LIMITE ATTEINTE 



- Calcul SKU=f(NTU,KDU) 

- Envoi DATA au terminal 

- Calcul Sl=f(DATA,SKU) 

- Reception SI <p du terminal 



pOui^ 



S1=S1 m ? 



> 



-Non- 



FIG.5 



Ckdu =Ckdu +u 



SUITE TRAITEMENT 



i 



